Uhkien vaikutus liiketoimintaan

Kysyttäessä ”millä tavalla uhkien vaikutusta on arvioitu liiketoiminnan kannalta” haettiin tietoa miten kyberuhka itsessään vaikuttaa liiketoimintaan ja yrityksen toiminnan suunnitteluun. Tarkentavina kysymyksinä haettiin tietoa uhkien vaikutuksesta tuotteiden ja palveluiden muutoksiin, luopumiseen tai lykkäämiseen. Tämän kysymyksen pääkysymyksen yhteydessä selvitettiin myös kuinka kyberuhka vaikuttaa liiketoimintojen suunnitteluun sekä liiketoimintojen kannattavuuteen.

Kyberuhkien merkitys kasvaa jatkuvasti ja vaikuttaa laaja-alaisesti yritysten liiketoimintaan eri osa-alueilla. Ne tulee huomioida tuotekehityksessä, tuotteiden ylläpidossa ja huollossa koko elinkaaren ajan, kaikissa tietojärjestelmissä, liiketoimintojen suunnittelussa ja toteutuksessa.

Kyberturvallisuudesta ja kyberrikollisuuden uhkista on tullut yritykselle erittäin merkittävä osa-alue, johon otetaan kantaa myös ylimmän johdon tasolla.

Mikäli kyberuhkia ei huomioitasi, niin seuraukset voisivat olla erittäin vakavia yrityksen liiketoiminnalle, luotettavuudelle, maineelle ja aiheuttaa suuria taloudellisia menetyksiä suoraan tai välillisesti. Kyberuhkiin varautuminen ja niiden vakavasti ottaminen voi vaikuttaa myös myyntiin, kyberriskit tiedostetaan laajalti ja mikäli asiakkailla syntyy mielikuva, ettei niitä oteta vakavasti, niin se voi vaikuttaa ostohalukkuuteen kyseiseltä toimittajalta.

Kuten kerrottiin, niin luotettavuus on erittäin tärkeä osa asiakkuutta, mikäli asiakkaat eivät pysty luottamaan toimittajaan, ei heillä ole syytä pysyä asiakkaana.

Jos liiketoimintamalleissa tapahtuu muutoksia, niin kyberturvallisuuteen liittyvät asiat tulee käydä uudestaan läpi. Muutokset toimintatavoissa voivat muuttaa uhkakenttää ja riskit on arvioitava uudestaan. Vaikutusarvioita tehdään ICT-prosessien ja -järjestelmien muutoksissa, samoin mikäli hankitun tiedon perusteella uhkat ovat muuttuneet.

Toteutuneet suuret kyberuhkat, esimerkiksi NotPetya Maersk-logistiikkayhtymällä ovat havahduttaneet ymmärtämään kuinka suuria vaikutuksia uhkilla voi toteutuessaan olla. Tällaisilla erittäin suurilla tapauksilla on positiivisena puolena se, että todella suuren liiketoimintavaikutuksen tiedostetaan olevan mahdollinen. Tästä on opittu, että tietojärjestelmät ovat suuressa roolissa liiketoiminnan kehittämisessä ja uhkat tulee ottaa huomioon kaikkialla. Maerskin tapaus aiheutti satojen miljoonien vahingot, raha on hyvä tapa arvioida uhkien merkitystä siitä, mitä se voi aiheuttaa yritykselle, asiakkaalle ja maineelle.

Niin kuin aiemmin puhuttu, riskiarviointi, meillä on voimakas turvakulttuuri toimialalla. Onnettomuuksia, henkilövahinkoja ei haluta tapahtuvan. Uhkat ovat osana liiketoiminnan päätöksentekoprosessia. Raha puhuttelee, yleensä se on hyvä tapa arvioida potentiaaliselle uhkalle arvo: mitä se rahalle, maineelle, asiakkaalle tai yritykselle aiheuttaa. Perinteinen liiketoiminta-vaikutus ratkaisee, nämä neljä momenttia tulee olla mukana. (kyberturvajohtaja, konepajateollisuus)

Esineiden internet, automaatio ja koneiden ja laitteiden etäkäyttö tuovat uusia mahdollisuuksia liiketoiminnalle. Toisaalta nämä samat aukaisevat rikollisille uusia keinoja, mikäli he pääsevät tunkeutumaan näihin. Rikollinen voi käskyttää laitteen esimerkiksi louhimaan virtuaalivaluuttoja tai tekemään roskapostituksia tai vaikkapa nostamaan rakennuksen lämpötilaa kymmenellä asteella. Järjestelmien toimittajan ja ylläpitäjän tulee huolehtia, ettei näitä järjestelmiä helposti kaapata tai ohjata toimimaan väärin. Näiden uhkien torjunnassa ja ennaltaehkäisyssä tulee pystyä seuraamaan, ettei niihin voida huomaamatta tunkeutua.

Eivät kyberuhat ole suoraan vaikuttaneet liiketoimintaamme tai tuotekehitykseemme. Tosin emme ole tehneet mobiiliohjausta automaation ohjaukseen, esimerkiksi sekoitussuhteen muuttamiseen, koska emme tunnista sen aiheuttamia kyberuhkia ja -riskejä. Hei, onhan se kyberuhka sittenkin vaikuttanut ihan suoraan, koska emme tuota ole tehneet nimenomaisesti uhkan vuoksi. (hallituksen jäsen, automaatioteollisuus)

Aina jos uusi juttu, niin aina arvioidaan, jos järjestelmän vaihto tai uusi bisnes-alue, tietoturva-arviointi ja auditointi omin voimin tai ulkopuolisen toimittajan kautta. Uusissa jutuissa auditointia, vanhoissa säätelyä ja arviointia, pidetään tutka auki, jos uudentyyppinen uhka, ollaanko varauduttu. Kysytään

työntekijöiltä näkemyksiä ja palautetta. Meillä 3000 työntekijää niin tulee hyvää ja monipuolista palautetta. (strategiajohtaja, palveluyritys)

Viimeisen 2-3 vuoden aikana kyberuhkat on arvioitu merkittäväksi. Maersk-case on todella inhottava esimerkki NotPetya – hakkerointi, se maksoi

tolkuttomasti järjestelmä jouduttiin pikaisesti rakentamaan uusiksi. Meilläkin vastaava worst case scenariot. Asiakasluottamuksen menetys on uhkana.

Liiketoiminnan kehittämisessä tietojärjestelmät ovat merkittävässä roolissa, uhkat tulee huomioida kaikkialla ja niihin tulee varautua. Asiakkaille voi aiheutua suuria ongelmia, mikäli uhkat toteutuvat. (laki- ja sopimushallinta, konepajateollisuus)

Tehokkaimmin vaikutusarviot tehdään liiketoimintaprosessien tai järjestelmien muutoksissa, tämä on hedelmällisin paikka. Jos uhkat muuttuvat merkittävästi, niin se on toinen paikka. Liiketoimintamuutokset on merkittävin. Asiantuntijat arvioivat kyberturvan, tietoturvan ammattilaiset ovat osa systemaattista toimintatapaa. (turvallisuusjohtaja, pankki)

Kaikilla haastatelluilla yrityksillä oli samantyyppiset näkemykset uhkien vaikutuksesta yrityksen liiketoimintaan. Kyberuhkat tiedostetaan ja ne vaikuttavat liiketoimintapäätöksiin. Tarvittaessa näiden uhkien johdosta tehdään muutoksia tuotteisiin tai palveluihin, tarpeen vaatiessa lykätään tuotteen tai palvelun käyttöönottoa, mikäli kyberuhkat koetaan liian suuriksi tehdään luopumispäätös. Kyberuhkien vaikutuksesta kannattavuuteen ei ole havaittavissa yrityskohtaisia eroja.

Muutokset tuotteisiin tai palveluihin

Kyberuhkat huomioidaan sekä uusien tuotteiden ja palveluiden suunnittelussa, tunnistettuihin uhkiin pyritään varautumaan mahdollisimman aikaisessa vaiheessa. Uhkat huomioidaan kehitysprosessin kaikissa vaiheissa ja tilannetta päivitetään prosessin edetessä. Kyberuhkat pitää huomioida myös vanhoissa, kauan sitten, asiakkaille toimitetuissa järjestelmissä joiden elinkaari on hyvin pitkä. Näiden tuotteiden suunnittelussa ei alun perin ole ollut suurta syytä varautua kyberriskeihin, mutta maailman muututtua ne tulee ottaa huomioon kyseisiä tuotteita huollettaessa ja ylläpidettäessä.

Kyllä on tehty uhkien takia, ehkä enemmän complience'n takia. Kyllä uhkien takia tehdään, kun tiedetään mitä tapahtuu uhkan realisoiduttua. Ei ehkä aina ennen kuin tuote tehty, aina ei tiedetä mitä voisi tapahtua. Tuotteilla on jopa 25 vuoden elinkaari. Täytyy miettiä keinot uhkan ja riskin ehkäisemiseksi. Vaikea päivittää esimerkiksi sulautettuja järjestelmiä. (kyberturvajohtaja, konepajateollisuus)

Useinkaan tehtävät muutokset eivät näy suoranaisesti asiakkaille, vaan ne tehdään tarpeen vaatiessa. Joissakin tapauksissa palveluita lopetetaan kun niiden turvallisuudesta ei voi enää olla varma tai niiden päivittäminen tulisi liian kalliiksi asiakkaan saamaan hyötyyn nähden, sama tilanne voi olla elinkaarensa loppupäässä olevien tuotteiden osalta. Muuttuneisiin uhkiin ja riskeihin ei ole enää taloudellisesti mielekästä varautua, vaan olisi perusteltua tehdä korvausinvestointi nykyaikaiseen tuotteeseen. Toki näissäkin tapauksissa asiakas voi halutessaan jatkaa turvattomamman tuotteen käyttöä, mutta silloin hänen tulee olla tietoinen riskistä.

Kyllä muutoksia on tehty, on ollut tiettyjä vanhentuneita palveluita joissa on puutteellinen tietoturva, asiakasympäristö, tietoturvakäytännöt, menetelmät, uusia palveluita mietittäessä tietoturva keskeinen elementti, palvelun luotettavuus keskiössä. (tietohallintojohtaja, palveluyritys)

Kyberuhkien johdosta tehdään myös asiakkaalle näkyviä muutoksia, esimerkiksi pankkiohjelmistoon on tehty lisävahvistuksia. Myös erilaisia kontrolleja on lisätty järjestelmiin ja mikäli järjestelmät eivät täytä ohjesääntöjä ja määräyksiä turvallisuuden osalta, niin näihin on tehty riittävät korjaustoimenpiteet. Kun asiakkaalle toimitetaan uusi laite tai järjestelmä, niin käyttöönottoprosessissa on kyberturvallisuus mukana. Käyttöönottoprosessissa on varmistusmetodit, jotta asiakas saa turvallisen toimituksen.

Onko jonkin palvelun käyttöönotosta luovuttu tai sitä lykätty kyberuhan takia

Varsin usein palvelun käyttöönottoa on lykätty kyberuhkien takia, tämä ei useinkaan näy asiakkaalle tai muille järjestelmien käyttäjille, koska julkaisupäivää ei ole ilmoitettu etukäteen. Kokonaan luopuminen on hyvin harvinaista, mikäli kehityksessä on edetty jo pidemmälle. Luopuminen tapahtuu useimmiten kun asia on vielä ideatasolla ja todetaan kartoitusvaiheessa sen sisältävän enemmän riskejä kuin on hyväksyttävissä.

Syyt voivat olla teknisiä, toiminnallisia tai koetaan, ettei palvelu tuota riittävästi lisä-arvoa verrattuna uhkien eliminoimiseen.

Yrityksen toimintatavoissa on kyberuhkien johdosta tehty rajauksia, jos koetaan jollekin palvelumuodolle olevan vain vähäistä tarvetta, vaikka se hyödyttäisi osaa asiakkaista, sitä ei ole katsottu järkeväksi toteuttaa kyberuhkien takia. Lisäksi on tietosuojasyistä kaikkia tietoja, esimerkiksi henkilötietoja, ei ole palveluissa saatavissa. Kyberuhkat siis osittain määrittävät mitä palveluita on saatavissa verkossa. Suuret yritykset voivat varmistaa kattavammin kaikki verkossa tarjottavat palvelut ja voivat siten tarjota turvallisesti kattavamman palvelun asiakkailleen.

Kyllä (luovuttu tai lykätty) tilanteita on ollut. Yleensä liittynyt teknisen järjestelmän toimintaan, ei ole ollut riittävällä tasolla. Syyt ovat moninaisia, ei aina pelkästään kyberuhan takia, palvelua tai tuotetta työstetään.

(kyberturvajohtaja, konepajateollisuus)

Lykkääntymistä on tehty useinkin, mutta se ei näy asiakkaille. Luopumiset ehkä ideatasolla, jos ideaa ei koeta tietoturvalliseksi, niin siitä luovutaan jo ennen kehitysvaihetta. Esimerkiksi, jos asia koetaan käyttäjäystävälliseksi, mutta rikollistenkin tykkäävät, niin luovutaan. (kyberturvallisuuspäällikkö, pankki)

Kyberuhan vaikutus liiketoimintojen suunnitteluun

Kyberuhkat vaikuttavat liiketoimintojen suunnitteluun kokonaisvaltaisesti aina ideatasolta, budjetointiin, kannattavuusarviointiin, riskien hallintaan, tuotekehitykseen ja palvelukonsepteihin. Kyberuhkat vaikuttavat oleellisesti myös riskinottohaluun. Kyberuhkat siis muodostavat olennaisen aspektin koko liiketoiminnalle. Liiketoimintaa ei kuitenkaan suunnitella kyberuhka edellä, vaan se on tärkeä seikka kokonaisuutta arvioitaessa. Kyberuhkat tiedostetaan ja ne arvioidaan ja otetaan huomioon. Kuitenkin sille tulee antaa oikea painoarvo, täysin turvallista kokonaisuutta ei voi luoda ja ylenmääräinen turvallisuushakuisuus vaikeuttaisi varsinaista liiketoimintaa liiaksi.

Kyberturvallisuuden riskit huomioidaan liiketoiminnan suunnittelussa ja budjetoinnissa. Asiakkaiden luottamus tietojen salassa pysymisessä ja asioiden turvallisesta hoitamisesta on välttämätöntä. Suunnitteluvaiheessa varmistetaan järjestelmien ja toimintatapojen olevan turvallisia. Kyberturvallisuus on osa liiketoimintojen suunnittelun riskiarviointia.

Myös asiakkaat ovat kiinnostuneita heille toimitettujen järjestelmien, koneiden ja laitteiden kyberturvallisuudesta, asiakas voi vaatia näiden läpikäymistä yhdessä heidän kanssaan, toisinaan asiakas edellyttää auditointia.

Kyberuhkat ja kyberriskit huomioidaan myös sopimuksissa, on sitten kyse toimituksista asiakkaille tai ostot omilta toimittajilta.

Sopimuksissa voidaan asettaa velvoitteita, sekä määritellä vastuut uhkien toteutumisen varalta. Tämä kyberturvallisuuden vaatimus on saanut aikaiseksi keskusteluja asiakkaiden ja toimittajien kanssa toimintatavoista, näihin keskusteluihin osallistuu myös oman organisaatioin kyberturvallisuuden asiantuntijat. Vaikka kyberturvallisuusvaatimukset voivat pitkittää neuvotteluita, on niiden huomiointi kaikkien osapuolten etu.

Kyberuhan vaikutus liiketoimintojen kannattavuuteen

Kyberuhkat vaikuttavat monin tavoin kannattavuuteen, toisaalta turvallisuuden rakentaminen ja kehittäminen maksaa sekä henkilöstökuluina, että taloudellisissa resursseissa kun investoidaan turvajärjestelmiin. Toisaalta kyberuhkat vaikuttavat huolto- ja ylläpitopalveluiden käyttöön, sekä voivat vaikuttaa asiakkaiden investointisykliin. Vaikutus voi olla joko investointeja hidastava tai kiihdyttävä.

Luonnollisesti kyberuhkien torjunta maksaa, mutta todennäköiset kulut suojaamatta jättämisestä olisivat huomattavasti suurempia ja voivat pahimmassa tapauksessa tuhota koko liiketoiminnan. Kokonaisuudessaan kyberturvallisuuden kulut eivät ole merkittäviä, etenkään saatuun hyötyyn suhteutettuna. Uhkien toteutuminen on kallista, torjunta ei. Tästä syystä pitää olla kyky reagoida nopeasti ja toimintamallit vahinkojen ehkäisyyn, sekä viestintäsuunnitelma asiakkaille. Mikäli nämä laiminlyö, niin seuraukset asiakkuuksiin ovat vahingollisia. Kyberturvallisuuden kustannukset voidaan useimmiten ottaa hinnoittelussa huomioon ja siten jopa parantaa katetta.

Kyberuhka vaikuttaa riskinottohaluun ja jos ajatellaan liiketoiminnan kannattavuutta riskiorientoituneesti, niin uhka vaikuttaa riskinottokykyyn ja haluun, suoraa kytkentää kannattavuuteen on vaikea tehdä, mutta epäsuorasti se on aina mukana. Toimialalla on tapahtunut esimerkiksi WannaCry, jolloin koneet lukittiin, paljonko se aiheuttaa taloudellisia tappioita, liiketoiminnan suunta voi muuttua, ei aina suoraan, mutta välillisesti. (kyberturvajohtaja, konepajateollisuus)

Kyberuhkien johdosta voidaan myös luoda uutta liiketoimintaa ja parantaa sitten kannattavuutta. Mikäli kyberriskeihin ei ole varauduttu kunnolla, niin se voi vaikuttaa asiakkaiden hankintapäätöksiin. Tietotekniikka yleistyy jatkuvasti erilaisissa koneissa ja laitteissa ja mahdollistaa etävalvonnan, koneiden ohjauksen ja käytön. Kun toimittaja pitää kunnolla huolen näiden järjestelmien turvallisuudesta, niin se saa kilpailuetua sellaisiin toimijoihin verrattuna, jotka eivät ole antaneet sille riittävää painoarvoa. Kun järjestelmiä ylläpidetään ja huolletaan, niin se tuo lisää laskutettavaa liiketoimintaa tällä toiminnan

osa-alueella. Koneissa ja laitteissa olevat tietotekniset järjestelmät vaativat myös erilaista koulutusta niiden tehokkaaseen käyttöön, jolloin koulutuspalveluiden myynti asiakkaille lisääntyy.

Toki varautumiseen ja suojautumiseen menee rahaa, pitkällä aikavälillä parantaa, koska luotettavuus ja varmuus on meidän tuotesegmenteissä tärkeä, eli parantaa sitä kautta pitkän aikavälin kannattavuutta, lyhyellä aikavälillä vaatii investointeja. Kyberakatemia muodostaa uutta liiketoimintaa. (laki- ja sopimushallinta, konepajateollisuus)

Enemmän riskin realisoituminen vaikuttaa maineeseen tai palvelun lopettaminen voi olla uhkan johdosta välttämätöntä. Tekninen torjunta ei ole ratkaiseva, mutta uusiminen voi olla kuitenkin kokonaisuudessaan pieni investointi. Uhkien toteutuminen on kallista, torjunta ei. Tämän vuoksi se on osana riskien hallintaa ja miten uhkan voi torjua. Maine, luottamus on toisilla toimialoilla suurempi tekijä. Reagointi on tärkeää ja reagointikyky, miten toimitaan ongelmien ilmaantuessa, se vaikuttaa asiakkaisiin. Seuraukset voi vaikuttaa pahasti (mikäli ei toimita). (strategiajohtaja, palveluyritys)

En osaa sanoa, suojauskustannukset, valvontakustannukset, toki tapahtumat esimerkiksi palveluneston kustannukset ja sen vahinkojen kustannukset.

Massiivisen suuren luokan uhkan toteutumisen vaikutukset ovat huomattavat, maineriskit esim. asiakasrekkari seuraukset suuret. (turvallisuusjohtaja, pankki)